IT-Security Awareness – Mitarbeitersensibilisierung

Dieses Seminar richtet sich an alle Mitarbeitenden, die im Arbeitsalltag mit IT-Systemen, E-Mail, Internet, Cloud-Diensten oder sensiblen Informationen umgehen und Sicherheitsrisiken frühzeitig erkennen und vermeiden sollen. Besonders geeignet ist es für:
 

• Mitarbeitende aus kleinen, mittelständischen sowie großen Betrieben und Behörden, unabhängig von Abteilung oder Funktion
• Benutzerbetreuerinnen und Benutzerbetreuer, die Kolleginnen und Kollegen im Umgang mit IT-Anwendungen unterstützen
• IT-Supportmitarbeitende, die häufig erste Ansprechpersonen bei Sicherheitsvorfällen sind und sichere Arbeitsweisen im Supportalltag stärken möchten
   

Wenn du regelmäßig mit Passwörtern, E-Mail-Anhängen, Links, mobilen Geräten, externen Speichermedien oder vertraulichen Daten arbeitest, profitierst du besonders von der praxisnahen Sensibilisierung.

• Du verstehst die wichtigsten IT-Sicherheitsrisiken im Arbeitsalltag und erkennst typische Angriffswege frühzeitig.
• Du identifizierst Phishing, Spear-Phishing, Smishing und Vishing anhand klarer Merkmale und weißt, wie du richtig reagierst.
• Du gehst sicher mit Passwörtern und Authentifizierung um, inklusive Passwortmanager und Mehrfaktor-Authentifizierung.
• Du schützt sensible Informationen durch korrektes Klassifizieren, Teilen, Speichern und Löschen von Daten.
• Du reduzierst Risiken durch sicheres Arbeiten mit E-Mail, Links, Anhängen, Cloud-Diensten und Kollaborationstools.
• Du erkennst Social-Engineering-Taktiken und setzt klare Grenzen in Telefonaten, Chats und persönlichen Situationen.
• Du arbeitest sicher im Homeoffice und unterwegs, inklusive WLAN, VPN, mobilen Geräten und Blickschutz.
• Du reagierst im Vorfall richtig: du sicherst Beweise, meldest schnell an die richtigen Stellen und vermeidest Folgeschäden.
• Du kennst die wichtigsten internen Regeln und Verantwortlichkeiten und setzt sie im Alltag konsequent um.
• Du entwickelst alltagstaugliche Routinen, die Sicherheit erhöhen, ohne deine Arbeit auszubremsen.

• Warum IT-Security Awareness zählt
  
  • Bedrohungslage im Unternehmensalltag
  • Konsequenzen von Sicherheitsvorfällen: Betrieb, Finanzen, Reputation
  • Deine Rolle als Teil der Sicherheitskette
• Phishing und Betrugsmaschen erkennen
  
  • Merkmale verdächtiger E-Mails, Links und Anhänge
  • Spear-Phishing, CEO-Fraud, Rechnungsbetrug
  • Smishing (SMS) und Vishing (Telefon)
  • Prüfschritte: Absender, Domain, Sprache, Kontext, Druckaufbau
  • Richtiges Verhalten: nicht klicken, nicht antworten, melden
• Social Engineering im Alltag
  
  • Manipulationstechniken: Autorität, Dringlichkeit, Hilfsbereitschaft, Angst
  • Umgang mit unbekannten Personen, Besucherinnen und Besuchern, Lieferdiensten
  • Verifikation: Rückruf, Vier-Augen-Prinzip, interne Freigaben
• Passwörter und Authentifizierung
  
  • Starke Passphrasen statt komplexer Kurzpasswörter
  • Passwortmanager: sicher einsetzen
  • Mehrfaktor-Authentifizierung: wann und wie
  • Risiken durch Passwort-Wiederverwendung und Weitergabe
• Sicherer Umgang mit Daten
  
  • Vertrauliche Informationen erkennen und richtig behandeln
  • Speichern, Teilen, Berechtigungen, Versionen
  • Clean-Desk und Clean-Screen: praktische Regeln
  • Sicheres Drucken und Entsorgen (z.B. Aktenvernichtung)
• Sicher arbeiten mit E-Mail, Cloud und Kollaboration
  
  • Freigaben, Links, Gastzugriffe und Berechtigungen prüfen
  • Risiken durch automatische Weiterleitungen und Shadow-IT
  • Dateien und Makros: typische Fallen
• Homeoffice und mobiles Arbeiten
  
  • WLAN-Sicherheit, Router-Grundregeln, öffentliche Netzwerke
  • VPN und Geräteschutz: Updates, Verschlüsselung, Bildschirmsperre
  • Schutz vor Shoulder Surfing und Mitlesen
  • Verlust oder Diebstahl: Sofortmaßnahmen
• Malware, Ransomware und Updates
  
  • Wie Schadsoftware ins Unternehmen kommt
  • Warnsignale und typische Symptome
  • Warum Updates und Patches entscheidend sind
  • Verhalten bei Verdacht: trennen, melden, nicht selbst „reparieren“
• Vorfallmanagement: richtig reagieren und melden
  
  • Was ist ein Security Incident und was nicht
  • Meldewege und Ansprechpartnerinnen und Ansprechpartner (Platzhalter)
  • Welche Informationen helfen: Zeitpunkt, Screenshot, E-Mail-Header, betroffene Systeme
  • Do’s and Don’ts zur Beweissicherung
• Praxisübungen und Transfer
  
  • Kurze Fallbeispiele aus dem Arbeitsalltag
  • Checklisten für E-Mail-Prüfung, Datenhandling und mobiles Arbeiten
  • Persönlicher Maßnahmenplan: 3 konkrete Sicherheitsroutinen für deinen Alltag

Lern-Methoden für IT-Security Awareness – Mitarbeitersensibilisierung
 

1) Praxisnahe Fallbeispiele aus dem Arbeitsalltag

Du arbeitest mit realistischen Szenarien wie Phishing, Social Engineering, unsicheren Passwörtern, Datenabfluss oder Fehlversand. Gemeinsam analysierst du, woran du Angriffe erkennst, welche Entscheidungen kritisch sind und wie du im Alltag sicher handelst.

2) Interaktive Live-Demonstrationen

Der Trainer zeigt typische Angriffsmuster und Schwachstellen live, zum Beispiel gefälschte E-Mails, manipulierte Links oder riskante Datei-Anhänge. Du lernst, welche Details entscheidend sind und wie du verdächtige Inhalte schnell prüfst.

3) Kurze Wissensimpulse mit direkter Anwendung

Du bekommst kompakte Theorie-Einheiten, die sofort in Übungen übergehen. So verknüpfst du Regeln und Hintergründe direkt mit konkreten Handgriffen, die du in deinem Umfeld sofort umsetzen kannst.

4) Checklisten-Training und sichere Routinen

Du arbeitest mit klaren Checklisten, zum Beispiel für E-Mail-Prüfung, Passwort- und MFA-Nutzung, Umgang mit vertraulichen Daten, mobiles Arbeiten und Datenträger. Ziel ist, dass du daraus verlässliche Routinen für deinen Arbeitsplatz ableitest.

5) Gruppenarbeit und Erfahrungsaustausch

Du diskutierst typische Situationen aus unterschiedlichen Rollen und Abteilungen und lernst voneinander. Dadurch erkennst du, wo Risiken in Prozessen entstehen und wie ihr gemeinsam praktikable Schutzmaßnahmen umsetzt.

6) Rollenspiele zu Social Engineering

Du übst Gesprächssituationen, in denen Druck aufgebaut wird, zum Beispiel am Telefon, an der Tür oder per Chat. Du trainierst, wie du höflich, klar und sicher nachprüfst, Grenzen setzt und Eskalationswege nutzt.

7) Micro-Übungen: „Erkennen, Entscheiden, Melden“

Du bearbeitest kurze Entscheidungsaufgaben mit sofortigem Feedback: Ist das verdächtig? Was ist der nächste sichere Schritt? Wen informierst du? So festigst du Reaktionsmuster für den Ernstfall.

8) Leitfaden für Meldewege und Incident-Erstmaßnahmen

Du lernst, wie du Sicherheitsvorfälle schnell und korrekt meldest, welche Informationen wichtig sind und was du bis zur Klärung tun oder lassen solltest. Das reduziert Folgeschäden und sorgt für klare Abläufe.

9) Transferaufgabe für deinen Arbeitsplatz

Du definierst am Ende konkrete nächste Schritte für deinen Arbeitsbereich, zum Beispiel „Phishing-Check in 30 Sekunden“, „Clean-Desk-Routine“, „Freigabeprozess für Datenweitergabe“ oder „Regeln für mobiles Arbeiten“. So wird aus Wissen direkt umsetzbares Verhalten.

10) Wissenscheck zur Lernerfolgssicherung

Du schließt mit einem kurzen Wissenscheck oder einer Reflexionsrunde ab. So erkennst du, welche Punkte sitzen, wo noch Unsicherheit besteht und welche Maßnahmen du priorisieren solltest.
 

Optional: Materialien für die Zeit nach dem Seminar

• Spickzettel für Phishing- und Link-Prüfung
• Checkliste für sichere Passwörter und Mehrfaktor-Authentifizierung
• Kurzanleitung „Sicher melden“ mit internen Kontaktpunkten als Platzhalter (z. B. [IT-Service-Desk], [Security-Team])